Le texte de base en la matière est la directive européenne 1999/93/CE du 13 décembre 1999 qui fixe un cadre communautaire pour les signatures électroniques.
Cette directive a été transposée en droit français par une loi et deux décrets d’application.
9.1.1 La loi n°2000-230 du 13 mars 2000
Cette loi portant sur la preuve en matière de technologies électroniques de l’information a inséré de nouveaux articles dans le code civil qui stipule :
• à l’article 1316 : « La preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leur support et leurs modalités de transmission ».
• à l’article 1316-3 : « L’écrit sur support électronique a la même force probante que l’écrit sur support papier ».
Ces deux articles signifient donc qu’un document sur support électronique et transmis électroniquement constitue une preuve.
La loi prévoit cependant des conditions définies à l’article 1316-1 : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».
L’émetteur doit donc être identifiable de façon certaine et le support utilisé doit permettre la conservation du document dans son intégralité sans que le contenu n’en soit altéré.
• à l’article 1316-4 : « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte.
Lorsqu’elle est électronique, la signature consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque, dans des conditions fixées par décret en Conseil d’Etat :
- la signature électronique est créée, - l’identité du signataire assurée, - l’intégrité de l’acte garantie ».
Un procédé de signature électronique peut donc bénéficier d’une présomption de fiabilité s’il satisfait aux exigences ci-dessus.
La signature électronique doit permettre d’identifier de façon fiable la personne dont elle émane.
LA VERSION ELECTRONIQUE FAIT FOI
• à l’article 1316-2 : « Lorsque la loi n’a pas fixé d’autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu’en soit le support. ».
C’est-à-dire que le juge se base sur la loi ou sur une convention (aussi appelée convention de preuve) établie entre les parties.
9.1.2 Le décret n°2001-272 du 30 mars 2001
L’article 1316-4 de la loi du 13 mars 2000 est complété par le décret n°2001-272 du 30 mars 2001 relatif à la mise en place d’une signature sécurisée. Ce texte définit ainsi la signature électronique :
« Signature électronique : une donnée qui résulte de l’usage d’un procédé répondant aux conditions définies à la première phrase de l’article 1316-4 du code civil. »
« Signature électronique sécurisée : une signature qui satisfait, en outre, aux exigences suivantes :
- être propre au signataire,
- être créée par des moyens que le signataire puisse garder sous son contrôle exclusif, - garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable ».
Le décret du 30 mars 2001 fixe également, à l’article 2, les conditions dans lesquelles une présomption de fiabilité doit être attachée au procédé utilisé dans le cas de signatures sécurisées :
« La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque :
- ce procédé met en œuvre une signature électronique sécurisée (voir plus haut),
- [cette signature est] établie grâce à un dispositif sécurisé de création de signature électronique et que
- la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié ».
9.1.3 Le décret n°2002-535 du 18 avril 2002
Les notions de dispositif sécurisé de création de signature électronique et d’utilisation d’un certificat électronique qualifié sont définies aux articles 3 à 9 du décret n°2001-272 du 30 mars 2001 complété par le décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes de la technologie de l’information.
LA VERSION ELECTRONIQUE FAIT FOI
9.1.4 L’arrêté du 31 mai 2002
Ce texte traite de l’organisation du schéma national volontaire de reconnaissance de la qualification des prestataires.
Les certificats qualifiés délivrés par des prestataires certifiés dans le cadre de ce schéma sont présumés remplir les conditions énoncées à l’article 6 du décret du 30 mars 2001 - ce schéma vise donc à développer la confiance.
Il traite aussi de la responsabilité des prestataires de services de certification électronique (PSCE).
En attente de précisions du droit relatif aux relations entre les prestataires délivrant des certificats qualifiés et ceux qui se fient à de tels certificats, les premiers peuvent être présumés responsables (transposition de l’article 6 de la directive 1999/93/CE) sauf dans certains cas d’imprudence de la part de la personne qui se fie au certificat.
9.1.5 L’arrêté du 26 juillet 2004
Ce texte est relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation.
L’évaluation des prestataires de certification électronique est réalisée par des organismes indépendants, eux-mêmes accrédités par le Cofrac, sur la base de critères comme les ressources cryptographiques utilisées, les procédures d’audit interne, la gestion des secrets et la politique de sécurité des prestataires de certification électronique.
9.1.6 L’ordonnance 2005-674 du 16 juin 2005
Ce texte modifie les articles 1369-1 à 1369-11 du Code Civil.
L’article 1369-2 permet de transmettre par courrier électronique les éléments relatifs à l’exécution d’un contrat si le destinataire accepte l’usage de ce moyen.
L’article 1369-8 concerne la transmission par voie électronique de courriers recommandés avec accusé de réception. Le procédé utilisé doit permettre « d’identifier le tiers, de désigner l’expéditeur, de garantir l’identité du destinataire et d’établir si la lettre a été remise ou non au destinataire ». Ces informations sont présumées fiables si le procédé satisfait à des exigences fixées par un décret en Conseil d’Etat (non paru à la date de publication du présent guide).
9.2 Signature électronique et signature électronique présumée fiable 9.2.1 Signature électronique
Dans un premier temps, il est important de souligner que la signature électronique, au sens de la directive européenne et des textes réglementaires français n’est pas la numérisation (« scannerisation ») d’une signature manuscrite.
En effet, la pratique qui consiste à numériser des signatures manuscrites pour insérer dans un document des images de cette signature ne répond pas à la définition et aux exigences des textes réglementaires sur la signature électronique.
LA VERSION ELECTRONIQUE FAIT FOI
La signature électronique est un moyen d’authentifier un document en garantissant à la fois l’identité du signataire et l’intégrité du document transmis.
Elle est propre au signataire, est créée par des moyens que le signataire puisse garder sous son contrôle exclusif et garantit avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable.
Une signature électronique utilise un certificat électronique de type ICP (infrastructure de clés publiques) ou, en anglais, PKI (Public Key Infrastructures).
Un certificat est un ensemble de deux clés (publique et privée) propriété du signataire.
Ce certificat repose sur deux principes :
• un principe technique selon lequel un certificat est mis en œuvre à l’aide d’un dispositif de création de signature électronique (au moyen de clés de cryptage),
• un principe organisationnel selon lequel le lien entre l’identité du signataire, le certificat électronique et sa période de validité est garanti par une autorité de confiance qui, en quelque sorte, joue le rôle de notaire.
Un dispositif de création de signature électronique peut être uniquement logiciel ou intégrer un dispositif matériel.
Il peut s’agir :
• d’une carte à puce (avec ou sans code secret),
• d’un dispositif de reconnaissance biométrique (empreinte digitale, de l’œil, de la voix,…),
• d’un appareil d’enregistrement de la « dynamique » de la signature manuscrite,
• d’un logiciel installé sur un ordinateur.
Ce dispositif protège la clé secrète, permet sa mise en œuvre par le seul utilisateur légitime sans qu’il soit possible de la falsifier et sans qu’il soit possible d’altérer le message.
Il existe trois modes (combinables) d’identification du signataire par le dispositif de création de signature électronique :
• par code secret (PIN : Personnal Identification Number),
• par caractéristique biométrique (empreinte digitale,…),
• par objet personnel (carte à puce,…).
Un module d’autoformation à la signature numérique est accessible sur le site de la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) à l’URL suivante : http://www.formation.ssi.gouv.fr/autoformation/signature.html.
LA VERSION ELECTRONIQUE FAIT FOI
9.2.2 Signature électronique présumée fiable
L’autorité de confiance délivrant le certificat peut être l’organisme d’appartenance du signataire ou un organisme tiers appelé tiers de confiance ou PSCE (prestataire de services de certification électronique).
Cet organisme peut être qualifié, au sens de la réglementation française. Il délivre alors des certificats qualifiés.
La qualification de ces organismes est évaluée par des organismes de certification indépendants accrédités par le Cofrac.
Si la signature électronique s’appuie sur un certificat qualifié comprenant un dispositif de création de la signature certifié, il s’agit alors d’un procédé présumé fiable, sans exigence de démonstration complémentaire.
La signature électronique est définie comme signature électronique « simple » dans les autres cas.
Cependant, un procédé de signature électronique « simple » n’est pas pour autant sans valeur juridique. Toutefois, dans ce cas, en cas de contestation, c’est à l’utilisateur de ce procédé de signature électronique qu’il revient d’apporter la preuve de sa fiabilité ou de lui donner, en amont, force probante en vertu de la signature d’une convention sur la preuve.
9.3 Références bibliographiques relatives à la signature électronique
Le présent chapitre fait référence ou s’appuie sur les documents et textes de références suivants :
• Directive européenne 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.
• Loi n° 2000-230 du 13 mars 2000 portant sur la preuve en matière de technologies électroniques de l’information.
• Décret n° 2001-272 du 30 mars 2001 relatif à la mise en place d’une signature sécurisée.
• Décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes de la technologie de l’information.
• Arrêté du 31 mai 2002 relatif à la reconnaissance de la qualification des prestataires de certification électronique et à l’accréditation des organismes chargés de l’évaluation.
• Arrêté du 28 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation.
• Ordonnance 2005-674 du 16 juin 2005 relative à l’accomplissement de certaines formalités contractuelles par voie électronique.
Une liste de sites Internet relatifs à cette thématique est consultable sur www.ssi.gouv.fr.